6.2 エンタイトルメントを作成する: 概要

エンタイトルメントで実行する内容を事前に理解しておく必要があります。エンタイトルメントは、ポリシーを介してIdentity Managerドライバに組み込んだ機能から動作します。これらのドライバポリシーによってルールが実装され、識別ボールトと接続システムとの間でイベントが処理されます。Identity Managerドライバのポリシーで実行する内容を指定しないと、エンタイトルメントは機能しません。たとえば、コ\'83\'7dンドポリシーの[Check User Modify for Group Membership]ルールの[action]セクションを指定しない場合、グループメンバーシップエンタイトルメントの付与または取り消しの試行は無視されます。

すべての接続システムのリソ-スに対する付与および取り消しの機能を正しく設計するためには、Identity Managerで実行する内容を正確に理解しておく必要があります。次の4つのステップの手順は、エンタイトルメントの作成および使用の計画に役立ちます。

  1. ビジネスの場で実現したいことを理解します。Identity Managerを介してほとんど何でも設計および実装できますが、定義されていないことを実装する前に、実現したい内容を理解しておく必要があります。何をしたいのかの番号付きリストを作成します。

  2. 番号付きリストの1つのポイントを表すエンタイトルメントを定義します。値のないエンタイトルメントと値のあるエンタイトルメントを作成できます。値のあるエンタイトルメントは、外部クエリから値を取得できます。エンタイトルメントは、管理者が定義した形式にすることも、自由形式にすることもできます。に例を示しています。セクション 6.4.6, 独自のエンタイトルメントを作成するためのエンタイトルメントの例

  3. Identity Managerドライバにポリシーを追加し、設計されたエンタイトルメントを実装します。Identity Managerドライバ用のポリシーを作成するには、接続システムで情報が処理および受信される方法、およびNovell® eDirectory™に情報が保存される方法の点で、XSLTまたはDirXMLスクリプトに精通している必要があります。優れたDirXML*のプログラマでない限り、これはコンサルタントの仕事です。

  4. エンタイトルメントを付与または取り消すための管理エージェントを設定します。自動処理にする場合、Role-Based Entitlement (役割ベースのエンタイトルメント)を使用します。手動処理にする場合、ワークフローベースのプロビジョニングを使用します。

6.2.1 エンタイトルメントをサポートする、設定済みのIdentity Managerドライバ

Identity Managerには、エンタイトルメント、エンタイトルメントを実装するためのポリシー、およびエンタイトルメントアクティビティのリッスンが有効になっているドライバがすでに含まれている、設定ファイル付きの多くのドライバが付属しています。ドライバを初めてインストールする際、事前設定済みの要素をドライバの一部にするために、エンタイトルメントを有効にする必要があります。以下のドライバには、エンタイトルメントをサポートする設定ファイルが付属しています。

  • Active Directory

  • 交換

  • GroupWise

  • LDAP

  • NIS

  • Lotus Notes

  • NTドメイン

  • RACF

これらの事前設定済みのドライバでは、上記の4つのステップの最初の3つが実行されます。ドライバに含まれているエンタイトルメントのタイプの例は、最も一般的なシナリオ(ユーザアカウント、グループ、および電子メール配布リストの付与および取り消し)で使用できます。具体的には、次のようなメカニズムがあります。

  • Active Directory: アカウント、グループメンバーシップ、Exchangeメールボックスの付与および取り消し

  • Exchange 5.5: メールボックスとグループメンバーシップの付与および取り消し

  • GroupWise: アカウントおよび配布リストのメンバーの付与および取り消し

  • LDAP: ユーザアカウントの付与および取り消し

  • Linux and UNIX: アカウントの付与および取り消し

  • Lotus Notes: ユーザアカウントおよびグループメンバーシップ付与および取り消し

  • NT Domain: ユーザアカウントおよびグループメンバーシップ付与および取り消し

  • RACF: グループアカウントおよびグループメンバーシップの付与および取り消し

これらのエンタイトルメントおよびポリシーの例は、自分のニーズを満たしていればそのまま使用できます。ニーズを満たすように変更する、または例として使用して、iManagerまたはDesignerを介して独自のエンタイトルメントおよびポリシーを作成することもできます。繰り返しますが、事前設定済みのドライバのエンタイトルメントを使用するには、事前設定済みのドライバをDesignerまたはiManagerで初めて作成するときにエンタイトルメントを有効にする必要があります。事前設定済みのエンタイトルメントは、ドライバを再作成しない限り、後で追加することはできません。

Identity Manager 2.xでエンタイトルメントを使用していて、これらのエンタイトルメントをIdentity Manager 3.5.1で使用するには、[Identity Managerユーティリティ]の[エンタイトルメントのアップグレード]オプションを実行します。

6.2.2 他のIdentity Managerドライバでのエンタイトルメントの有効化

事前設定済みのエンタイトルメントが含まれていないIdentity Managerドライバで、エンタイトルメントを使用することもできます。ドライバでエンタイトルメントのサポートを有効にするには、DirXML-EntitlementRef属性をドライバフィルタに追加します。これには次の操作を行います。

  1. Identity Manager]>[Identity Manager Overview]の順に選択します。

  2. ドライバがある場所でドライバセットを参照し、[検索]をクリックします。

  3. [Identity Managerの概要]ページで、ドライバオブジェクトをクリックします。

    ドライバセットからのドライバを選択する

  4. 「ドライバの概要」ページで識別ボールトの右側にある[ドライバフィルタ]アイコン(赤い円で囲まれています)をクリックします。

    購読者チャネルドライバフィルタを選択する

  5. 属性の追加]を選択し、下部までスクロールして[すべての属性を表示]を選択します。

  6. DirXML-EntitlementRef]属性を選択して、[OK]をクリックします。

    [DirXML-EntitlementRef]属性の選択

  7. [フィルタ]ページで[DirXML-EntitlementRef]を選択し、購読ヘッダで[通知]を選択します。

    購読ヘッダで[通知]を選択する

  8. OK]をクリックし、変更を保存します。

    ドライバ上でDesignerを介してエンタイトルメントを作成すると、この処理は自動的に実行されます。